Entrevista a Carlos Juarros, CISO de Fundae Fundación Estatal para la Formación en el Empleo
La importancia de la formación, los retos que asume un CISO a la hora de implantar una estrategia de seguridad o las herramientas para luchar contra los ciberataques, son algunas de las cuestiones que abordamos con Carlos Juarros – CISO de Fundae, la Fundación Estatal para la Formación en el Empleo.
CybersecurityNews (CN): Carlos, un breve resumen de tu trayectoria profesional
Carlos Juarros (CJ): Desde pequeño me han encantado las nuevas tecnologías y la innovación, y he intentado aprender todo lo posible para mantenerme actualizado y disponer del máximo conocimiento. Decidí apostar por mi formación en Ingeniería Informática y lo he ido complementando con un MBA y varias certificaciones relacionadas con la tecnología y la ciberseguridad, a lo que hay que añadir la experiencia que aporta trabajar en las empresas de consulting enfocadas a las soluciones y servicios de sistemas relacionados con CPDs, servidores, cabinas de almacenamiento, sistemas profesionales de impresión y gestión documental, entornos OT e IoT, etc.
CN:¿Cómo llegas hasta la posición actual de CISO?
CJ: Aunque inicié mi trayectoria profesional impartiendo clases de informática, he trabajado como autónomo, en grandes empresas de consultoría y en cliente final. En el año 2011, siendo responsable de informática de un área dentro de una gran empresa de retail, fue cuando comencé a interesarme por la seguridad física, electrónica y la ciberseguridad, aprendiendo otras tecnologías como blockchain que pueden añadir capas adicionales de seguridad, o el IoT, que es otra tecnología emergente y que es la gran olvidada en cuanto a su protección.
Posteriormente, estuve en multinacionales del ámbito de la ciberseguridad, definiendo la estrategia corporativa, gestionando proyectos críticos para la organización a nivel corporate y de cliente, e incluso tuve la suerte de liderar el equipo de CyberRisk Culture en una de las BigFour. Fue, tras esta etapa en el área de consulting, cuando tuve la fortuna de ser seleccionado en la fundación como responsable de la seguridad de la información
CN: ¿Qué retos asume un CISO actualmente a la hora de implantar una estrategia de seguridad?
CJ: En cualquier organización, lo que más nos preocupa es la evolución constante de las amenazas, la falta de recursos (económicos, humanos y técnicos), el cumplimiento normativo y la implantación satisfactoria de un cambio cultural en la plantilla a todos los niveles (alta dirección, mandos intermedios y personal operativo). Es importante disponer de una estrategia clara y bien definida que permita elevar al máximo posible la protección de los servicios prestados y la información y, por tanto, la continuidad del negocio.
CN:¿Cómo debe ser en tu opinión un equipo de seguridad? ¿Crees que es complicado encontrar profesionales?
CJ: Un equipo de seguridad efectivo debe tener una combinación de habilidades técnicas, conocimiento de los sistemas, redes y procesos relevantes, así como capacidad para pensar estratégicamente y de manera creativa. Los profesionales de seguridad también deben ser capaces de trabajar en equipo y comunicarse de manera clara con otros departamentos y miembros del equipo, incluyendo aquellos sin conocimientos técnicos en seguridad de la información. Es importante, por tanto, que el equipo de seguridad esté actualizado sobre las últimas amenazas y riesgos para adaptarse y responder rápidamente a los nuevos desafíos.
En cuanto a la disponibilidad de profesionales de seguridad, es cierto que la demanda de expertos en la materia ha aumentado en los últimos años debido a la creciente necesidad de proteger los sistemas y datos de las organizaciones, lo que puede suponer que se haga difícil encontrar y retener profesionales de seguridad altamente cualificados. Sin embargo, existen diversas opciones para ampliar y mejorar el equipo de seguridad, como la formación continua, la externalización de ciertas funciones de seguridad y la adopción de herramientas y tecnologías de seguridad avanzadas que pueden ayudar a compensar la escasez de recursos humanos en este campo.
CN: ¿Cuáles dirías que son los pilares fundamentales para poder definir, implementar y medir la estrategia de Ciberseguridad y Seguridad de la Información alineada con los requisitos de Negocio?
CJ:El negocio requiere de la implementación de ciertas medidas que permitan disponer de una estrategia optimizada para la Ciberseguridad y la Seguridad de la Información. Como medidas principales pueden aplicarse las siguientes:
Estructura organizativa: La organización debe disponer de una estructura que garantice que la seguridad de la información sea una responsabilidad compartida en toda la organización y que se tomen medidas proactivas para identificar, mitigar y responder a los riesgos de seguridad. Entre otros, un comité de seguridad encargado de supervisar y garantizar la seguridad de los sistemas y la información, donde el CISO se encargará de liderar dicho comité y se encargará de definir la estrategia y las políticas necesarias.
Además, debe disponerse de un equipo dedicado y con responsabilidad compartida donde se tomen medidas proactivas para identificar, mitigar y responder a los riesgos de seguridad, además de ser necesario disponer de equipos de gestión de riesgos y de evaluación mediante auditorías de cumplimiento normativo
Evaluación de riesgos: Es esencial que cualquier estrategia de ciberseguridad y seguridad de la información se base en una evaluación adecuada de los riesgos. Esto implica identificar y evaluar los riesgos asociados con los sistemas y datos críticos, y desarrollar un plan para mitigar esos riesgos de manera efectiva.
Políticas y procedimientos: Disponer de políticas y procedimientos claros y bien definidos es esencial para garantizar que todos los empleados y usuarios sigan prácticas de seguridad consistentes y estandarizadas. Esto incluye políticas para implementar contraseñas seguras, control del acceso a los datos, el uso seguro de los dispositivos móviles…
Tecnología y herramientas: La tecnología y las herramientas de seguridad son un componente crítico de cualquier estrategia de ciberseguridad. Esto incluye sistemas de seguridad perimetral, soluciones de monitorización y evaluación de vulnerabilidades, correlación de eventos de seguridad, etc.
Capacitación y concientización: Los empleados deben recibir capacitación regular en prácticas de seguridad y se les debe concienciar sobre los riesgos de seguridad. Est opuede incluir la identificación de ataques de ingeniería social o de cualquier otra técnica de ataque que pueda poner en compromiso el negocio.
Monitoreo y medición: Es importante hacer un seguimiento y medir continuamente el éxito de una estrategia de seguridad de la información. Esto puede incluir la realización de auditorías de seguridad, la revisión de registros de seguridad y la supervisión de las métricas de seguridad clave.
Continuidad del negocio: En caso de un incidente de seguridad, es esencial tener planes de contingencia claros para garantizar la continuidad del negocio y la recuperación rápida de los sistemas y datos críticos.
CN: Cuando se trata de dirigir equipos en proyectos relacionados con la Seguridad de la Información y riesgos tecnológicos, ¿cuál consideras el punto más importante para obtener una buena ciberseguridad futura, la creación de estos equipos de proyecto, o el crecimiento y la construcción de procesos de seguridad alcanzando el nivel de madurez adecuado?
CJ: Tanto la creación de equipos de proyecto adecuados como la construcción de procesos de seguridad sólidos son importantes para lograr una buena ciberseguridad en el futuro.
No disponer de un buen equipo de proyecto bien diseñado y altamente capacitado puede perjudicar en la construcción de los procesos de seguridad que alcancen el nivel de madurez adecuado, pero también ha de tenerse en cuenta que es de vital importancia disponer de procesos sólidos y maduros ya que son esenciales para garantizar que las prácticas de seguridad sean consistentes y estén estandarizadas en toda la organización. Esto no solo ayuda a prevenir errores y omisiones que puedan poner en riesgo la seguridad de la información, sino que también garantiza que los esfuerzos de seguridad sean eficientes y efectivos.
Hay que tener en cuenta que los procesos de seguridad sólidos pueden facilitar la colaboración y el trabajo en equipo entre los miembros del equipo de proyecto, lo que puede mejorar la eficacia general de la estrategia de seguridad de la organización.
CN: Desde la pandemia, el aumento del teletrabajo es un hecho, algo que conlleva más riesgos al estar el empleado fuera de las oficinas y con materiales en algunos casos personales, ¿Crees que ante esta nueva situación la ciberseguridad se valora como debería ser y se le dedica el esfuerzo y cuidado necesario?
CJ: Es cierto que la pandemia ha acelerado la adopción del teletrabajo, lo que a su vez ha aumentado el riesgo de ciberataques y violaciones de seguridad. Los empleados que trabajan desde casa pueden estar utilizando equipos personales que no están protegidos adecuadamente, conectándose a redes inseguras o compartiendo información confidencial a través de aplicaciones no seguras. Por lo tanto, es crucial que las empresas reconozcan estos riesgos y tomen medidas para garantizar la seguridad de sus datos y sistemas, incluyendo la implementación de políticas de seguridad de la información, la formación de los empleados en buenas prácticas de seguridad y la inversión en tecnologías de seguridad.
Sin embargo, aunque la importancia de la ciberseguridad ha aumentado, aún hay empresas que subestiman el riesgo y no invierten lo suficiente en medidas de seguridad. En algunos casos, se trata de empresas pequeñas que no tienen los recursos para dedicar a la seguridad de la información, mientras que, en otros casos, puede deberse a una falta de concienciación y comprensión sobre la importancia de la ciberseguridad. En cualquier caso, es importante que las empresas comprendan los riesgos y se tomen en serio la seguridad de la información para proteger sus activos y mantener la confianza de sus clientes.
.
